BUNDESREPUBU^^^' 



PRIORITY DOCUMENT 

SUBMITTED OR TRANSMITTED IN 
COMPLIANCE WITH 
RULE 17.1(a) OR (b) 




9/673658 




Bescheinigung 




Die Giesecke & Devrient GmbH in 
dung unterderBezeichnung 



Munchen/Deutschland hat eine Patentanmei- 



•Verfahren zur Authentisierung einer Chipkarte —> ^ 
Nachrichteniibertragungs-Netzwerks" 



am 



7. Mai 1998 beim Deutschen 



Patent- und Markenamt eingereicht. 



Die angehefteten Stiicke sind eine richtige 
lichen Unteriagen dieser Patentanmeldung 



undgenaueWiedergabederursprung- 



n tcchen Patent- und Markenamt voriaufig d.e Symboie 
Die Anmeldung hat im Deutschen P ^^^ mg ^ emalte n. 
H 04 L und G 07 F der International Patentklass.f.k 



MQnchen, den 2. Juni 1999 
Deutsche* Patent- und Markenamt 
Der Prasident 

Im Auftrag 




I, Aktenzeichen: 19820422J. 



Seilaf 



A9161 

06.90 
11/98 



BEST AVAILABLE COPY 



• • • I * 

-2- 

gewahlte „ZufalIszahlen" nach dem standardisierten Protokoll an die SIM- 
Karte ubermittelt werden und daraus, nach mehrfachen Authentisierungs- 
versuchen, der Geheimschliissel der Chipkarte ermittelt wird. 1st zusatzlich 
der Algorithmus der Karte bekannt, konnen nach Ermittlung des geheimen 
5 Schltissels wesentliche Funktionselemente der Karte simuliert bzw. dupli- 
ziert werden. 

Es ist deshalb Auf gabe der Erfindung, ein sicheres Verf ahren ztir Authenti- 
sierung einer Chipkarte in einem Nachrichtensystem anzugeben, bei dem, 
10 wie beispielsweise im GSM-Netz ublich, eine Ruckmeldung liber das Au- 
thentisierungsergebnis an die teilnehmende Chipkarte nicht erfolgt. 

Diese Aufgabe wird gemafi der Erfindung ausgehend von den Merkmalen 
des Oberbegriffs des Anspruchs 1 durch die kennzeichnenden Merkmale des 
15 Anspruchs 1 gelost. 

Vorteilhafte Ausgestaltungen der Erfindung sind in den abhangigen An- 
spriichen angegeben. 

20 Die Erfindung sieht vor, zur Bildung der Authentisierungsnachricht sowohl 
aus dem geheimen Schliissel als auch aus der vom Netzwerk ubertragenen 
Zufallszahl jeweils wenigstens zwei Teile zu bilden, wobei einer der Teile 
der ubertragenen Zufallszahl und einer oder mehrere Teile des geheimen 
Schliissels mittels eines ein- oder mehrstufigen, vorzugsweise symmetri- 

25 schen Berechnungsalgorithmus verschliisselt werden. Zur Ausgabe einer 
Authentisierungsnachricht wird ein auswahlbarer Teil des nach dem Au- 
thentisierungsalgorithmus berechneten Ergebnisses an das Netzwerk uber- 
tragen. 




Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dafi in der gleichen 
Art und Weise auch der Kanalkodierungsschlussel erzeugt wird, d.h. auch 
dort ist, beispielsweise bei einer Zweiteilung des Schliissels und der Zuf alls- 
zahl vorgesehen, daJS entweder der erste oder der zweite Teil der ubertrage- 
nen ZufaUszahl mit dem ersten und/oder zweiten Teil des geheimen Schliis- 
sels mit einem ein- oder mehrstufigen Algorithmus verkniipft werden, urn 
einen Kanalkodierungsschlussel zu erhalten. Vorzugsweise werden fur die 
Bildung der Authentisierungsnachricht mid des Kanalkodierungsschltissels 
jeweils verschiedene Teile der vom Netzwerk erhaltenen Zufallszahl ver- 
wendet. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung sieht vor, dafi der in 
der Karte abgelegte geheime Schliissel sowie die Zufallszahl, welche vom 
Netzwerk an die Karte gesendet wird, in gleich lange Teile aufgeteilt wer- 
den. Damit kann in beiden Fallen der gleiche Berechnungsalgorithmus ver- 
wendet werden. Die Aufteilung der Zufallszahl bzw. des geheimen Schliis- 
sels kann in der Weise erfolgen, dafi eine einfache Teilung "in der Mitte" er- 
folgt oder sich iiberlappende Teilbereicheentstehen. Ebenso ist eine Teilung 
denkbar, in der die Summe der einzelnen Teile kleiner ist als die Bit-Lange 
der Zufallszahl bzw. des geheimen Schliissels. Gemafi einer weiteren Varian- 
te konnen nach einem vorbestimmten Muster oder pseudozuf allig jeweils 
eine vorgegebene Anzahl von Bits der Zufallszahl bzw. des geheimen 
Schliissels zu jeweils einem Schliissel- bzw. Zufallszahlenteil zusammenge- 
fafit werden. 

Als weitere vorteilhafte Ausgestaltung der Erfindung konnen als Berech- 
nungsalgorithmen zur Authentisierung sowie zur Kanalkodierung DES- 
Algorithmen verwendet werden. 
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Eine andere vorteilhafte Variante der Erfindung sieht vor, dafi zur Berech- 
nung der Authentifizierungsparameter und der Kanalkodierungsschliissel 
der vorzugsweise einstufige IDEA-Algorithmus verwendet wird. 

5 Alternativ konnen zur Berechnung der Authentifizierungsparameter und 
der Kanalkodierungsschlussel Komprimierungsalgorithmen, vorzugsweise 
kryptografische Komprimierungsalgorithmen verwendet werden, deren 
Ausgabewerte eine geringere Lange als die Eingabeparameter aufweiseni 

10 Zur Erhohung der Sicherheit ist es vorteilhaft, einen mindestens zweistufi- 
gen Berechnungsalgorithmus zu verwenden, wobei sich ein Triple-DES- 
Algorithmus als besonders sicher erweist. Bei diesem Algorithmus wird zu- 
nachst mit einem ersten Teil des Schliissels und einem Teil der Zuf allszahl 
verschliisselt, anschliefiend wird eine Entschliisselung des Ergebnisses mit 

15 dem zweiten Teil des Schliissels vorgenommen, urn schliefilich wieder mit 
dem ersten Teil des Schliissels eine weitere Berechnung auszufiihren. Bei der 
letzten Verschliisselung mit dem ersten Teil des Schliissels kann in vorteil- 
hafter Weise, insbesondere bei einer Schliisselaufteilung in drei Schliisseltei- 
le, ein neuer, dritter Schliissel verwendet werden. 

20 

Eine weitere vorteilhafte Ausgestaltung der Erfindung ergibt sich, wenn die 
Auswahl des ersten oder zweiten Teils der Zuf allszahl fur die Authentisie- 
rung bzw. die Berechnung der Kanalkodierung im Wechsel erfolgt, wobei 
dieser Wechsel zuf allig bzw. pseudozufallig ausgefiihrt wird und die Aus- 
25 wahl in der Karte und im Netzwerk auf die gleiche Weise erfolgt. 

Im f olgenden wird die Erfindung an Hand der Figuren 1 bis 3 naher be- 
schrieben. 
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Fig. 1 zeigt den Ablauf der kryptographischen Funktionen des SIM im GSM- 
Netz. 

Fig. 2 zeigt ein Blockschaltbild der Triple DES-Verschlusselung. 

5 

Fig. 3 zeigt Beispiele fiir die Aufteilung des geheimen Schlxissels bzw. der 
Zuf allszahl 

Bei dem in Fig. 1 dargestellten Ablauf wird vorausgesetzt, dafi der iibliche, 
10 vorhergehende Vorgang der PIN-Verifizierung abgeschlossen ist. Im An- 
schlufi daran wird von der mobilen Einheit, in der sich die Karte SIM befin- 
det, eine Nachricht an das Netzwerk gesendet, welche eine IMSI- 
(international mobile subscriber identity) Information bzw. eine TMSI- 
(temporary mobile subscriber identity) Information enthalt/Aus der IMSI 
15 bzw. TMSI wird im Netzwerk nach einer vorgegebenen Funktion oder mit- 
tels einer Tabelle ein geheimer Schliissel Ki bestimmt. Derselbe Schlussel ist 
auch in der Chipkarte SIM in einem nicht zuganglichen Speicherbereich ab- 
gelegt. Der geheime Schlussel wird fiir die spatere Verifizienmg des Au- 
thentisierungsvorganges benotigt. 

20 

Das Netzwerk initiiert sodann den Authentisierimgsvorgang, indem es eine 
Zuf allszahl RAND berechnet und diese iiber die Luf tschnittstelle an die 
Chipkarte SIM iibertragt. 

25 In der Chipkarte wird daraufhin mittels eines Authentisierungsalgorithmus 
aus dem geheimen Schlussel Ki und der Zuf allszahl RAND ein Authentisie- 
rungsparameter SRES gebildet, der iiber die Luftschnittstelle wiederum an 
das Netzwerk ubertragen wird. ErfindtmgsgemaC werden hierbei aus der 
Zuf allszahl RAND mindestens zwei Zufallszahlen RANDi und RAND2 ab- 
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geleitet. Die Zufallszahlen RANDi und RAND2 konnen durch Teilung oder 
eine Auswahl aus der Zufallszahl RAND bzw. durch einen Berechnungsal- 
gorithmus gewonnen werden. 

5 Die Authentisierung erfolgt im Ausfiihrungsbeispiel nach Fig. 1 mit einem 
zweistufigen Algorithmus. Dabei wird, wie in Fig. 1 angedeutet, zunachst 
der erste Teil der Zufallszahl RANDi mit einem ersten Teil Ki des ebenf alls in 
zwei Teile aufgeteilten Schliissels Ki verschliisselt. Das Ergebnis dieser ersten 
Stufe wird anschliefiend in einer zweiten Stufe mit dem zweiten Teil des 
10 Schliissels K2 verschliisselt. Selbstverstandlich kann zur Berechnung mit dem 
Authentisiemngsalgorithmus zunachst auch der zweite Teil der Zufallszahl 
RAND2 verwendet und die Reihenfolge der Verwendung der ersten und 
zweiten Schlusselteile Ki und K2 verandert werden. 

15 Im Netzwerk wird wahrenddessen auf dieselbe Weise wie in der Karte mit- 
tels des Authentisierungsalgorithmus und der Zufallszahl RAND (RANDi, 
RAND2) sowie dem geheimen Schliissel Ki (Ki, K 2 ) ebenfalls ein Authentisie- 
rungsparameter SRES' gebildet. Der Parameter SRES' wird im Netzwerk so- 
) dann mit dem von der Karte erhaltenen Authentisierungsparameter SRES 

20 verglichen. Stimmen beide Authentisienmgsparameter SRES' und SRES 
iiberein, wird der Authentisierungsvorgang erfolgreich abgeschlossen. 
Stiixunen die Authentisierungsparameter nicht iiberein, gilt die Karte des 
Teilnehmers als nicht authentisiert. Es sei an dieser Stelle angemerkt, dafi zur 
Bildung von SRES bzw. SRES' auch nur Teile aus dem durch die Verschliis- 

25 selung erhaltenen Ergebnisses verwendet werden konnen. 



In der gleichen Weise wie die Erzeugung der Authentisierungsparameter 
erfolgt in der Karte und im Netzwerk die Generierung eines Schliissels Kc 
fur Kanalkodierung fur die Daten- und Sprachubertragung. Vorzugsweise 
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Die Figur 3a zeigt einen Schliissel Ki bzw. eine Zufallszahl RAND mit einer 
Lange von 128 bit. 

In der Figur 3b ist eine Aufteilung in zwei gleiche Teile Ki und K2 (RANDi, 
5 RAND2) dargestellt, wobei die Aufteilung mittig erf olgt Teil 1 enthalt bit 1 
bis bit 64, Teil 2 enthalt bit 65 bis bit 128. In Figur 3c ist eine xiberlappende 
Aufteilung angegeben und in der Figur 3d ist eine Aufteilung dargestellt, bei 
der jeweils die ungeradzahligen bits dem Teil 1 und die geradzahligen bits 
dem Teil 2 zugeordnet sind. Figur 3e zeigt schliefilich eine Aufteilung, bei 
10 der die Summe der Binarstellen der Teile 1 und 2 kleiner ist als die Binarstel- 
len des Ausgangsschltissels bzw. der Ausgangszufallszahl. 



Verfahren zur Authentisierung einer Chipkarte (SIM) in einem Netz- 
werk zur Nachrichteniibertragung, vorzugsweise in einem GSM- 
Netzwerk, bei dem in einer Chipkarte (SIM) ein Algorithmus sowie 
ein geheimer Schliissel gespeichert sind, wobei zur Authentisierung 

- zunachst vom Netzwerk oder einer Netzwerkkomponente eine Zu- 
fallszahl (RAND) an die Chipkarte iibertragen wird, 

- in der Chipkarte daraus mittels des Algorithmus und des geheimen 
Schlussels (Ki)ein Antwortsignal (SRES) erzeugt und an das Netzwerk 
bzw. die Netzwerkkomponente iibermittelt wird, 

dadurch gekennzeichnet, dafi 

- zur Bildung eines Authentisierungsparameters der geheime Schliis- 
sel (Ki) sowie die Zufallszahl (RAND) in jeweils wenigstens zwei Telle 
(Ki, K2; RANDi, RAND 2 ) auf geteilt werden, 

- einer der Teile (RANDi, RAND2) der iibertragenen Zufallszahl 
(RAND) mit Hilfe eines oder mehrerer Teile (Ki, K2) des geheimen 
Schlussels (Ki) mittels eines ein- oder mehrstufigen, vorzugsweise 
symmetrischen Algorithmus verschliisselt werden, und 

- eine vorgegebene Anzahl von Bits aus dem Verschliisselungsergeb- 
nis ausgewahlt und als Signal antwort (SRES) an das Netzwerk iiber- 
tragen wird. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der ge- 
heime Schliissel (Ki) und/ oder die Zufallszahl (RAND) in zwei Teile 
auf geteilt werden. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dafi ein 
Teil der iibertragenen Zufallszahl (RAND) sowie ein und/ oder weite- 
re Teile des geheimen Schlussels (Ki) zur Berechnung eines Kanalko- 



dierungsschliissels (Id) mittels eines ein- oder mehrstufigen Algo- 
rithmus verwendet werden, wobei zumindest ein Teil des Berech- 
nungsergebnisses als Kanalkodierungsschliissel (Kc) verwendet wird. 

Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi der Schliissel (Ki) sowie die Zufallszahl (RAND) in zwei 
gleich lange Teile (Ki, K2/ RANDi, RAND2) aufgeteilt werden. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentifizierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) DES- 
Algorithmen verwendet werden. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentisierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) der, vorzugs- 
weise einstufige, IDEA-Algorithmus verwendet wird. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentisierungsparameter (SRES, 
SRES') und/ oder des Kanalkodiemngsschliissels (Kc) ein Komprimie- 
rungsalgorithmus verwendet wird, dessen Ausgabewert eine geringe- 
re Lange als der Eingabeparameter aufweist 

Verfahren nach einem der Anspriiche 1 bis 7, dadurch gekemizeich- 
net, dafi die Berechnung in einem mindestens zweistufigen Algorith- 
mus erfolgt. 



Verfahren nach einem der Anspriiche 1 bis 8, dadurch gekennzeich- 
net, dafi als Verschlusselxingsalgorithmus ein Triple-DES- Algorithmic 
verwendet wird, bei dem zunachst mit dem ersten Teil (Ki) des 
Schliissels (Ki) verschliisselt, anschliefiend mit dem zweiten Teil (K2) 
des Schliissels (Ki) entschliisselt und darauf wieder mit dem ersten 
Teil (Ki) oder einem dritten Teil des Schliissels (Ki) verschliisselt wird. 

Verfahren nach einem der Anspriiche 1 bis 9, dadurch gekennzeich- 
net, dafi eine Auswahl des ersten oder zweiten Teils der Zufallszahl 
(RAND) im zuf alligen oder pseudozuf alligen Wechsel in der Karte 
und im Netzwerk in gleicher Weise erfolgt. 



Zusammenfassung 

Die Erfindung betrifft ein Verfahren zur Authentisierung einer Chipkarte 
5 (SIM) in einem Netzwerk zur Nachrichtenubertragung, vorzugsweise in ei- 
nem GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein gegebenenfalls 
geheimer Algorithmus sowie ein geheimer Schlussel gespeichert ist, wobei 
zur Authentisierung zunachst vom Netzwerk oder einer Netzwerkkompo- 
nente eine Zuf allszahl an die Chipkarte iibertragen wird, in der Chipkarte 

10 mittels des Algorithmus, der Zuf allszahl und des geheimen Schlussels ein 
Antwortsignal erzeugt wird, das an das Netzwerk bzw. die Netzwerkkom- 
ponente ubermittelt wird, um dort die Authentizitat der Karte zu uberprti- 
f en. Gemafi der Erfindung wird zur Bildung der Authentisierungsnachricht 
sowohl der geheime Schlussel als auch die vom Netzwerk ubertragene Zu- 

15 f allszahl in jeweils wenigstens zwei Teile auf geteilt, wobei ein Teil der iiber- 
tragenen Zufallszahl und ein oder mehrere Teile des geheimen Schlussels 
mittels eines ein- oder mehrstufigen, vorzugsweise symmetrischen Berech- 
mmgsalgorithmus verschliisselt werden. Zur Ausgabe einer Authentisie- 
xxmgsantwort wird ein auswahlbarer Teil des Verschliisselungsergebnisses 

20 an das Netzwerk iibertragen. 
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